Die Arti­kel – 29-Arbeits­grup­pe hat einen auf den 3. Okto­ber 2017 datier­ten Leit­fa­den zu auto­ma­ti­sier­ten Einzel(fall)entscheidungen (AEFE) als Ent­wurf ver­öf­fent­licht. Inter­es­sier­te Krei­se kön­nen bis am 27. Novem­ber 2017 zum Ent­wurf Stel­lung nehmen.

Anfor­de­run­gen an AEFE

Der Leit­fa­den ent­hält – neben Aus­füh­run­gen zu den ver­wen­de­ten Begrif­fen, z.B. dem Pro­fil­ing – Erläu­te­run­gen zu Art. 22 DSGVO. Die Arbeits­grup­pe inter­pre­tiert Art. 22 Abs. 1 DSGVO als Ver­bot von AEFE, sofern sie recht­li­che oder ande­re, ver­gleich­ba­re Aus­wir­kun­gen auf die betrof­fe­ne Per­son haben. Eine Recht­fer­ti­gung sol­cher AEFE sei nur im Rah­men von Art. 22 Abs. 2 DSGVO mög­lich, also, in der stren­gen Aus­le­gung der Arbeitsgruppe,

  • bei strik­ter Not­wen­dig­keit für den Abschluss oder die Erfül­lung eines Ver­trags mit der betrof­fe­nen Per­son (Bsp.: Bonitätsbeurteilung);
  • bei gesetz­li­cher Ermäch­ti­gung oder Ver­pflich­tung (wobei nur das Recht der EU bzw. eines Mit­glied­staats in Fra­ge kom­men dürfte);
  • mit aus­drück­li­cher Ein­wil­li­gung.

Die ande­ren Recht­fer­ti­gungs­grün­de sind in die­ser Les­art aus­ge­schlos­sen, ins­be­son­de­re die berech­tig­ten Inter­es­sen des Verantwortlichen.

Selbst bei Zuläs­sig­keit der AEFE ist der Ver­ant­wort­li­che ver­pflich­tet, den Betrof­fe­nen über die AEFE in Kennt­nis zu set­zen und ihr ein Eska­la­ti­ons­recht ein­zu­räu­men. Der Betrof­fe­ne hat mit ande­ren Wor­ten das Recht, die AEFE wie­der zu einer mensch­li­chen Ent­schei­dung zu machen.

Auf­grund die­ser stren­gen Anfor­de­run­gen rückt die Fra­ge ins Zen­trum, wann eine AEFE recht­li­che oder ver­gleich­ba­re Aus­wir­kun­gen hat. Auch hier nimmt die Arbeits­grup­pe eine stren­ge Hal­tung ein. Als Bei­spie­le recht­li­cher Aus­wir­kun­gen nennt sie

  • Ein­schrän­kun­gen in den Grund­rech­ten, bspw. der Versammlungsfreiheit;
  • eine Ände­rung in einer Rechts­po­si­ti­on oder in ver­trag­li­chen Rechten;
  • die Ent­schei­dung über gesetz­li­che Ansprü­che, z.B. Wohn­ko­sten­zu­schüs­se (wobei auch die Gewäh­rung sol­cher Ansprü­che erwähnt wird);
  • die Ver­wei­ge­rung der Einreise;
  • die Ent­schei­dung über Unter­su­chungs- oder Über­wa­chungs­mass­nah­men durch Behörden;
  • die Unter­bre­chung von Tele­kom­mu­ni­ka­ti­ons­lei­stun­gen auf­grund eines Zahlungsverzugs.

Ver­gleich­bar sei­en ande­re (posi­ti­ve oder nega­ti­ve) Aus­wir­kun­gen sodann, wenn sie das Poten­ti­al haben, die Umstän­de, das Ver­hal­ten oder die Wahl­mög­lich­kei­ten einer Per­son erheb­lich zu beein­flus­sen. Es sei aber schwie­rig, die­se Schwel­le anzu­wen­den. Bspw. hat nicht jede Ver­wei­ge­rung einer Lei­stung “erheb­li­che” Aus­wir­kun­gen. Wenn etwa die Mie­te eines Fahr­rads in den Feri­en ver­wei­gert wird, hat dies kei­ne erheb­li­chen Aus­wir­kun­gen; anders wäre es, wenn eine Hypo­thek ver­wei­gert wird.

Inter­es­sant und poten­ti­ell von gro­sser Trag­wei­te ist ein wei­te­res Bei­spiel: Unter Umstän­den kön­ne geziel­te Wer­bung (“tar­ge­ted adver­ti­sing”) erheb­li­che Aus­wir­kun­gen haben. Dafür sei­en die Umstän­de des Ein­zel­falls mass­geb­lich, etwa folgende:

  • die Trag­wei­te des Profiling;
  • die Erwar­tun­gen und Wün­sche der betrof­fe­nen Person;
  • die Art und Wei­se der Werbung;
  • eine all­fäl­li­ge beson­de­re Ver­letz­lich­keit der betrof­fe­nen Personen.

Als Bei­spiel einer Wer­bung mit erheb­li­chen Aus­wir­kun­gen nennt die Arbeits­grup­pe die Wer­bung für Online-Gewinn­spie­le, die einer ver­schul­de­ten Per­son wie­der­holt gezeigt wird.

Auch die Anwen­dung dif­fe­ren­zier­ter Prei­se kön­ne poten­ti­ell erheb­li­che Aus­wir­kun­gen haben, näm­lich dann, wenn jemand auf­grund pro­hi­bi­tiv hoher Prei­se bestimm­te Lei­stun­gen nicht in Anspruch neh­men kann.

Anfor­de­run­gen an das Profiling

Das Pro­fil­ing ist nicht als selb­stän­di­ger Tat­be­stand erfasst. Art. 22 DSGVO erwähnt es nur als mög­li­ches – aber nicht zwin­gen­des – Ele­ment von AEFE. ErwG 71 hält aber fest, dass bei Pro­fil­ing ausser­halb von AEFE nach all­ge­mei­nen Grund­sät­zen eben­falls Anfor­de­run­gen zu beach­ten sind:

[…] soll­te der für die Ver­ar­bei­tung Ver­ant­wort­li­che geeig­ne­te mathe­ma­ti­sche oder sta­ti­sti­sche Ver­fah­ren für das Pro­fil­ing ver­wen­den, tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men tref­fen, mit denen in geeig­ne­ter Wei­se ins­be­son­de­re sicher­ge­stellt wird, dass Fak­to­ren, die zu unrich­ti­gen per­so­nen­be­zo­ge­nen Daten füh­ren, kor­ri­giert wer­den und das Risi­ko von Feh­lern mini­miert wird, und […] ver­hin­dert wird, dass es gegen­über natür­li­chen Per­so­nen auf­grund von Ras­se, eth­ni­scher Her­kunft, poli­ti­scher Mei­nung, Reli­gi­on oder Welt­an­schau­ung, Gewerk­schafts­zu­ge­hö­rig­keit, gene­ti­scher Anla­gen oder Gesund­heits­zu­stand sowie sexu­el­ler Ori­en­tie­rung zu dis­kri­mi­nie­ren­den Wir­kun­gen […] kommt […].

Rege­lung in der Schweiz (E‑DSG)

Die in der Schweiz vor­ge­schla­ge­ne Rege­lung ist wesent­lich libe­ra­ler. AEFE mit recht­li­chen oder ver­gleich­ba­ren Aus­wir­kun­gen sind nicht ver­bo­ten; die betrof­fe­ne Per­son muss ledig­lich – vor oder nach der AEFE – infor­miert wer­den und hat das Recht, die AEFE an einen Men­schen zu eska­lie­ren. Der Zusam­men­hang mit einem Ver­trag oder die aus­drück­li­che Ein­wil­li­gung sind dem­zu­fol­ge auch nicht als Recht­fer­ti­gung beacht­lich; sie las­sen nur – anders als nach der DSGVO – die beson­de­ren Anfor­de­run­gen (Infor­ma­ti­on und Eska­la­ti­on) entfallen.

AI-generierte Takeaways können falsch sein.